120.000 euros de sanción a BBVA por no garantizar la seguridad de los datos de sus clientes

Comparte

En la resolución se indica que BBVA no había adoptado las medidas de seguridad adecuadas para cumplir con la verificación de identidad de sus usuarios cuando estos contactaban con la entidad bancaria a través del teléfono bajo el servicio de su Affinity Card. En concreto, se constató que el banco únicamente solicitaba a sus clientes el DNI como dato identificativo para atender las consultas de los clientes. Fruto de esta falta de controles de seguridad, la AEPD entendió que se incumplía el artículo 32 en el que indica que: “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas “.

Por ello, BBVA no estaría cumpliendo no adoptaría las medidas de seguridad adecuadas, ya que cualquier persona utilizando el sistema de atención telefónica automatizado podría dar un número de DNI siendo o no titular del mismo y obtener información asociada a ese DNI.

Ante estos hechos, también se sanciona a BBVA por no respetar el principio de integridad y confidencialidad del artículo 5.1 f) del RGPD, además del incumplimiento del artículo 32 del RGPD. Además, para la cuantificación de la propuesta de sanción se tuvieron en cuenta los siguientes agravantes:

  • El número de clientes de la entidad reclamada es elevado y por tanto también el número de afectados
  • El reclamado es una entidad solvente que dispone de medios técnicos para tomar medidas de seguridad adecuadas, su carencia supone negligencia en sus acciones
  • El alto grado de responsabilidad de la parte reclamada, puesto que tratando diariamente datos personales de sus clientes como parte de su negocio y adoptando medidas de seguridad adecuadas

Por último, a pesar de que la cuantía inicial de la sanción era de 200.000 euros, finalmente se verá reducida hasta los 120.000 euros por pago voluntario.

Leer más

Posts relacionados que podrían interesarte

27, abril 2023

Samsung condenada a indemnizar trescientos tres millones de dólares por infracción de patente

19, marzo 2020

La UE prepara un plan facilitar la reparación de “smartphones” y obligar a los fabricantes a terminar con la obsolescencia programada.

28, septiembre 2023

Reparación civil derivada de una infracción de privacidad: empresa es condenada a indemnizar a su empleado por el tratamiento irregular de datos biométricos

18, julio 2019

La Liga, sancionada con 250.000 euros por la AEPD por no informar de manera clara a los usuarios sobre el uso del micrófono en su App.

14, octubre 2021

Se publica un Informe técnico sobre buenas prácticas en el uso de herramientas de reconocimiento facial para la prevención de delitos

18, julio 2019

El Comité Europeo de Protección de Datos publica su informe anual 2018.